Hackersgroep kraakt zakelijke e-mailaccounts voor aandeleninformatie

Een groep hackers valt zakelijke e-mailaccounts aan op zoek naar vertrouwelijke aandeleninformatie en marktgegevens. Zeker 100 bedrijven in onder andere farmaceutische bedrijven, zorginstellingen, advocatenbureau’s en investeringsmaatschappij zijn doelwit geworden van de hackers, die al ruim een jaar actief zijn.

De hackers zijn ontdekt door FireEye. De aanvallers maken gebruik van spear phishing om de inloggegevens van e-mailaccounts in handen te krijgen. Malafide documenten in de bijlage laden Visual Basic Applications (VBA) macro’s waarmee een inlogvenster voor Outlook wordt getoond. De hackers stellen dat de Outlook sessie van het doelwit is verlopen, waarna het slachtoffer moet inloggen om verder te kunnen. De ingevulde inloggegevens worden doorgespeeld aan de cybercriminelen.

Vertrouwelijke informatie

Eenmaal binnen gaan de aanvallers op zoek naar vertrouwelijke informatie over aandelen en gevoelige marktgegevens. Daarnaast gebruiken de cybercriminelen gehackte e-mailaccounts om nieuwe spear phishing-aanvallen op te zetten. Deze aanvallen zijn afkomstig van een legitiem e-mailadres, wat de slagingskans van de aanvallen vergroot.

FireEye stelt dat de aanvallen professioneel zijn opgezet. Zo zijn de spear phishingmailtjes geschreven door Engelstalige schrijvers die veel kennis hebben over investeren en beursgenoteerde bedrijven. Ook zouden de aanvallers veel kennis verzamelen over hun doelwitten voor zij tot aanval overgaan.

Maatregelen

Het beveiligingsbedrijf stelt dat de spear phishing-aanvallen relatief eenvoudig zijn, wat detectie bemoeilijkt. Beheerders kunnen als maatregel zowel VBA macro’s als de domeinnamen die de aanvallers gebruiken blokkeren. Het gaat hierbij om de volgende domeinnamen:

• ellismikepage[.]info
• lifehealthsanfrancisco2015[.]com
• rpgallerynow[.]info
• dmforever[.]biz
• msoutexchange[.]us
• junomaat81[.]us
• outlookscansafe[.]net
• nickgoodsite.co[.]uk
• outlookexchange[.]net